Vor einigen Tagen erregte ein Vorfall die Gemüter, der von zahlreichen Medien aufgegriffen wurde. Ein Kölner Gastronom hatte sich beschwert, dass die Corona-App unsicher sei. Einige Medien nahmen die Meldung auf und titelten, der Kölner Barbesitzer hätte eine „Sicherheitslücke“ der Corona-App aufgedeckt. Er habe beim Einlass die Daten einer Vielzahl von Gästen gescannt und dann sämtliche Zertifikate auf seinem Gerät wiedergefunden. Was war passiert? Der Herr hatte, anders als das vorgesehen ist, nicht die App Covpass Check zum Überprüfen der Zertifikate genutzt, sondern über die handelsübliche Corona-Warn-App für Endnutzer wohl einfach auf „Zertifikate Scannen“ geklickt und damit unfreiwillig Dutzende Datensätze seiner Gäste „erbeutet“.

Diese Funktion gibt es tatsächlich – und sie ist ja eigentlich sinnvollerweise dafür gedacht, dass man die Impfzertifikate der eigenen Familie mit einscannen und so auch vorlegen kann, wenn nur einer das Smartphone griffbereit hat. In der Praxis könnte zumindest jemand, der irgendwo Zertifikate kontrolliert (und noch nicht selbst geimpft ist), sich ein solches Zertifikat eines Dritten erschleichen, um es dann gegebenenfalls selbst einzusetzen. Überall wo (fälschlicherweise) ein vorgezeigtes Zertifikat nicht mit den Ausweisdokumenten abgeglichen wird, käme man damit durch. Und klar dürfte auch sein: Je strenger die Regeln für Ungeimpfte werden, desto größer ist die Gefahr, dass Böswillige unter den Kontrollierenden sich Zertifikats-QR-Codes erschleichen werden.

QR-Code-Sammler: It’s not a bug, it’s a feature

So weit, so schlecht – denn es ist natürlich nicht im Sinne des Erfinders, dass ein Geschäftsbetreiber bei der Kontrolle die Namen und Impfdaten seiner sämtlichen Kunden einverleibt, weder freiwillig noch unfreiwillig. Doch ist das wirklich eine Sicherheitslücke oder eher ein Feature, das der Nutzer mangels Information und wider besseren Wissens falsch eingesetzt hat?

In der Tat fällt auf, wie schlecht informiert viele Geschäftsinhaber:innen, Restaurantbetreiber:innen und andere Kontrollierende sind, wenn es um den Umgang mit den Impfzertifikaten und um die Apps geht. Da wird – wie im Fall des Kölner Barbetreibers – die Covpass-Check-App mit der Corona-Warn-App verwechselt. Andere erklären jetzt im Rahmen der Diskussion, da müsse man doch die Betreiber der Luca-App in die Pflicht nehmen (die freilich ein komplett anderes System ist, das damit gar nichts zu tun hat). Doch wie viel ist hier Holschuld, wie viel Bringschuld? Würden diejenigen auch bei ihren geschäftlichen Dingen, der Steuer, Anmeldepflichten, Verpflichtungen gegenüber der Berufsgenossenschaft so schlampig agieren? Und würde man ihnen das durchgehen lassen?

IT-Verantwortliche, die mit Dokumentation zu tun haben, predigen regelmäßig, man müsse sich stets am dümmsten anzunehmenden User orientieren – und das ist nicht einmal böse gemeint. Und so trägt einen Teil der Schuld sicher auch das Konsortium aus Telekom und SAP, das die Corona-Warn-App programmiert hat. Denn auch wenn die Funktion, die Zertifikate der Familienmitglieder quasi als Backup mit einlesen zu können, vernünftig und praktisch ist, dürfte man mehr als den handelsüblichen Familienkreis von sagen wir fünf, bestenfalls zehn Personen hier gar nicht hochladen können.

Die Programmierer haben angekündigt, dass sie hier nachbessern wollen. Aber noch wichtiger als die funktionale Nachbesserung wäre hier eine Dokumentation, die beispielsweise so eingängig ist, dass selbst Menschen mit eingeschränktem Textverständnis sie verstehen. Ansonsten kann man allerdings bei näherer Betrachtung weder den Programmierern der Corona-Warn-App noch denen der Covpass-Check-App noch denen der Covpass-App oder von Luca einen Vorwurf machen – außer vielleicht den, dass die Fülle dieser Anwendungen dafür sorgt, dass selbst gutwillige Nutzer:innen kaum noch durchblicken.

Gänzlich an der Realität vorbei geht indes ein Ratschlag von Verbraucherschützern, man solle doch als derjenige, der den QR-Code vorzeigt, sicherstellen, womit dieser gescannt wird. Das kann nicht funktionieren und wird eher zu mehr Misstrauen aus Unsicherheit führen. Es gibt hier nur eine Lösung – und die besteht in der Kontrolle von Personalausweisen oder anderen fälschungssicheren Lichtbildausweisen, ohne Wenn und Aber. Hier sind wir wieder bei der Dokumentation und der Hol- und Bringschuld bei den Kontrollen – wahrscheinlich braucht es harte Strafen an der Einlasskontrolle, damit Wirt:innen und Geschäftsleute sich auch wirklich mit dem Thema beschäftigen.